Ccna 00-301, Volume Official

While the figure shows the general idea, note that the information flows with a couple 

of different protocols. On the left, the connection between the user and the switch or 

router uses Telnet or SSH. On the right, the switch and AAA server typically use either the 

RADIUS or TACACS+ protocol, both of which encrypt the passwords as they traverse the 

network.

So far, this chapter has focused on the console and on Telnet, mostly ignoring SSH. Telnet 

has one serious disadvantage: all data in the Telnet session flows as clear text, including the 

password exchanges. So, anyone that can capture the messages between the user and the 

switch (in what is called a man-in-the-middle attack) can see the passwords. SSH encrypts all 

data transmitted between the SSH client and server, protecting the data and passwords.

SSH can use the same local login authentication method as Telnet, with the locally con-

figured username and password. (SSH cannot rely on authentication methods that do not 

include a username, like shared passwords.) So, the configuration to support local usernames 

for Telnet, as shown previously in Figure 6-3, also enables local username authentication for 

incoming SSH connections.

Figure 6-5 shows one example configuration of what is required to support SSH. The figure 

repeats the local username configuration as shown earlier in Figure 6-3, as used for Telnet. 

Figure 6-5 shows three additional commands required to complete the configuration of SSH 

on the switch.

Technet24

||||||||||||||||||||

||||||||||||||||||||

ptg29743230

6

Chapter 6: Configuring Basic Switch Management    137

username wendell secret odom

username chris secret youdda

!

line vty 0 15

  login local

hostname 

sw1

ip domain-name 

example.com

! Next Command Uses FQDN “

sw1.example.com

”

crypto key generate rsa

SSH-Specific Configuration

Local Username Configuration (Like Telnet)

User Mode

(sw1>)

SSH

Figure 6-5

  Adding SSH Configuration to Local Username Configuration

IOS uses the three SSH-specific configuration commands in the figure to create the SSH 

encryption keys. The SSH server uses the fully qualified domain name (FQDN) of the switch 

as input to create that key. The switch creates the FQDN from the hostname and domain 

name of the switch. Figure 6-5 begins by setting both values (just in case they are not 

already configured). Then the third command, the crypto key generate rsa command, gener-

ates the SSH encryption keys.

The configuration in Figure 6-5 relies on two default settings that the figure therefore conve-

niently ignored. IOS runs an SSH server by default. In addition, IOS allows SSH connections 

into the vty lines by default.

Seeing the configuration happen in configuration mode, step by step, can be particularly 

helpful with SSH configuration. Note in particular that in this example, the crypto key com-

mand prompts the user for the key modulus; you could also add the parameters modulus 

modulus-value to the end of the crypto key command to add this setting on the command. 

Example 6-5 shows the commands in Figure 6-5 being configured, with the encryption key 

as the final step.

Download 24,53 Mb.

Do'stlaringiz bilan baham: